Práctica de laboratorio: Anatomía del malware

Objetivos
Investigar y analizar malware.

Aspectos básicos / Escenario

El malware, o software malicioso, hace referencia a diversos programas de software malicioso que se
pueden utilizar para causar daños en sistemas informáticos, robar datos y eludir medidas de seguridad. El
malware también puede atacar infraestructura crítica, deshabilitar servicios de emergencia, hacer que las
líneas de ensamble fabriquen productos defectuosos, deshabilitar generadores eléctricos e interrumpir
servicios de transporte. Los expertos en seguridad estiman que se lanzan más de un millón de amenazas de
malware nuevas por día. Los laboratorios de amenazas de McAfee revelaron que en el año 2019 se
descubrieron nuevos tipos de técnicas de ransomware, mediante la exposición de miles de millones de
cuentas a través de enormes extracciones de datos, una cantidad significante de explotación web en HTTP,
defectos en el sistema operativo Windows, Microssoft Office, y en el sistema iOS de Apple, además de
ataques continuos en dispositivos IoT (Internet of Things) personales. Encontremos la versión más actual del
reporte mediante una búsqueda web de "McAfee Labs Threats Report".
Nota: Puede utilizar el navegador web de la máquina virtual instalada en una práctica de laboratorio anterior
para investigar problemas relacionados con la seguridad. Si utilizan la máquina virtual, pueden impedir que
se instale malware en su computadora.

Recursos necesarios
 Computadora personal o dispositivo móvil con acceso a internet

Instrucciones

Realizar una búsqueda de malware reciente en internet

a. Utilizar su motor de búsqueda favorito para buscar malware reciente. Durante la búsqueda, elijan cuatro
ejemplos de malware, uno de cada tipo de malware diferente:
b. Investigue los siguientes puntos:
1) Qué hacen,
2) Cómo se transmiten
3) Cuál es el impacto que causan?
Entre algunos de los ejemplos de malware podemos incluir los siguientes: Ransomware, Troyanos, Hoax,
Adware, Malware, PUP, Exploit, Exploit Kit, etc. Realizar la búsqueda de los ejemplos de malware
utilizando los siguientes términos.
 McAfee Threat Center Threat Landscape Dashboard
 Malwarebytes Labs Threat Center (Top 10 Malware)
 Securityweek.com > virus-threats > virus-malware
 Technewsworld.com > security > malware
c. Leer la información sobre el malware encontrado en la búsqueda realizada en el anterior paso, escoger
uno de ellos y escribir un pequeño resumen explicando qué hace el malware, como funciona, como se
transmite y cuáles son sus efectos.

 2018 – 2020 Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 1 de 5
www.netacad.com
Práctica de laboratorio: Anatomía del malware

¡Error! Referencia de hipervínculo no válida.

Malware :
Es una contracción de Software malicioso, el malware es un software intruso que está diseñado
deliberadamente para provocar daños en equipos y sistemas informáticos. Existe una diferencia en fotware
que ocaciona daños involuntrarios que están denominados como Error de software.
La diferencia entre mal llamado virus y malware es que el termino malware es genérico para una variedad de
amenazas incluso virus, spyware, adware, ransonware, y otros tipos de software. Un virus es un tipo de
malware.

Tipos de malware:
Adware : es una contracción de advertising-support software (software publicitario), muestra anuncios no
deseados, y a veces maliciosos, en la pantalla de la computadores o en el dispositivos móvil, redirige
resultados de búsquedas a sitios web de publicidad y recopil s de los usuarios que se pueden vender a
anunciantes sin su consentimiento, No todo el adware es malware, ya que algunos son legítimos y se pueden
usar de manera segura.
Ejemplos de adware:

Fireball: Fireball salió en los titulares en 2017 cuando una empresa de software israelí descubrió que 250
millones de equipos y una quinta parte de las redes corporativas del mundo estaban infectadas con este
adware. Cuando Fireball afecta su equipo, se apodera del navegador. Cambia la página de inicio por un
motor de búsqueda falso, Trotus, e inserta anuncios molestos en las páginas web que visita. Además, no le
permite modificar la configuración del navegador.
Appearch : Appearch es otro programa de adware común que actúa como un secuestrador de navegadores.
Por lo general, se incluye con otros software gratuitos e inserta tantos anuncios en el navegador que navegar
por Internet se vuelve muy difícil. Cuando intenta visitar un sitio web, en su lugar se abre Appearch.info. Si
logra abrir una página web, Appearch convierte bloques aleatorios de texto en enlaces para que, cuando
seleccione el texto, se abra una ventana emergente que lo invita a descargar actualizaciones de software.

Spyware
El spywarees una forma de malware que se esconde en su dispositivo, controla su actividad y roba
información confidencial como datos financieros, información de la cuenta, contraseñas y mucho más. El
spyware puede propagarse al explotar vulnerabilidades de software o puede incluirse con software legítimos
o en troyanos.

Ejemplos de spyware:

CoolWebSearch: Este programa aprovechó vulnerabilidades de seguridad de Internet Explorer para

secuestrar el navegador, cambiar la configuración y enviar los datos de navegación a su autor.
Gator: Por lo general, se incluye con software de transferencia de archivos, como Kazaa. Este programa
monitorea los hábitos de navegación de la víctima y usa la información para mostrarle anuncios específicos.

Ransomware y criptomalware
El ransomware es malware diseñado para bloquear el acceso de los usuarios a su sistema o denegar el
acceso a los datos hasta que se pague un rescate. El criptomalware es un tipo de ransomware que cifra los
archivos del usuario y reclama un pago antes de una fecha específica y, a menudo, a través de una

 2018 - aa Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 2 de 5
www.netacad.com
Práctica de laboratorio: Anatomía del malware

criptomoneda como el Bitcoin. El ransomware es una amenaza persistente para las organizaciones de
muchas industrias desde hace varios años. Ya que cada vez más empresas adoptan la transformación
digital, la probabilidad de ser el objetivo de un ataque de ransomware crece considerablemente.

Ejemplos de ransomware:

CryptoLocker es una forma de malware predominante en 2013 y 2014 que los ciberdelincuentes usaron para
obtener acceso y cifrar archivos en un sistema. Los ciberdelincuentes usaron tácticas de ingeniería social
con el fin de engañar a los empleados para que descargaran ransomware en sus computadoras, lo que
infectó la red. Una vez descargado, CryptoLocker mostraba un mensaje de rescate en el que ofrecía
descifrar los datos si se realizaba un pago en efectivo o con Bitcoins antes de la fecha indicada. Aunque se
destruyó el ransomware de CryptoLocker, se cree que los operadores consiguieron alrededor de tres
millones de dólares extorsionando organizaciones desprevenidas.
Phobos malware : Una forma de ransomware que apareció en 2019. Esta variedad de ransomware se basa
en la familia de ransomware anteriormente conocida como Dharma (también llamada CrySis).
Troyanos
Un troyano (o caballo de Troya) se disfraza como software legítimo con el fin de engañarlo para que ejecute
software malicioso en su computadora. Debido a que parece legítimo, los usuarios lo descargan y, sin darse
cuenta, permiten que el malware entre en su dispositivo. Los troyanos son una puerta de entrada. A
diferencia de un gusano, necesitan un host para funcionar. Una vez que el troyano se instala en un
dispositivo, los piratas informáticos pueden usarlo para eliminar, modificar o capturar datos, recolectar su
dispositivo como parte de un botnet u obtener acceso a su red.

Ejemplos de troyanos:

Qbot malware, también conocido como “Qakbot” o “Pinkslipbot”, es un troyano bancario activo desde 2007
que se centra en robar datos de usuarios y credenciales bancarias. El malware evolucionó para incluir
nuevos mecanismos de entrega, técnicas de comando y control, y funciones antianálisis.
TrickBot malware: Identificado por primera vez en 2016, es un troyano desarrollado y operado por agentes de
ciberdelitos sofisticados. Diseñado originalmente como un troyano bancario para robar datos financieros,
TrickBot evolucionó en un malware modular de varias fases que les proporciona a sus operadores un
conjunto completo de herramientas para llevar a cabo numerosas actividades cibernéticas ilegales.

Gusanos
Los gusanos, que son uno de los tipos de malware más comunes, se propagan en redes informáticas
mediante la explotación de vulnerabilidades del sistema operativo. Un gusano es un programa independiente
que se replica para infectar otros equipos sin requerir la acción de nadie. Dado que se pueden propagar
rápido, los gusanos suelen utilizarse para ejecutar una carga (un fragmento de código creado para dañar el
sistema). Las cargas pueden eliminar archivos en un sistema host, cifrar datos para un ataque de
ransomware, robar información, eliminar archivos y crear botnets.

Ejemplo de gusano:

SQL Slammer era un gusano informático conocido que no usaba métodos de distribución tradicionales. En
cambio, generaba direcciones IP aleatorias en las que se enviaba para buscar a aquellos que no estaban
protegidos por software antivirus. Poco después de surgir en 2003, infectó más de 75 000 equipos que se

 2018 - aa Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 3 de 5
www.netacad.com
Práctica de laboratorio: Anatomía del malware

vieron involucrados involuntariamente en ataques DDoS en varios sitios web importantes. Aunque hay un
parche de seguridad relevante que está disponible hace varios años, SQL Slammer resurgió en 2016 y 2017.
Virus
Un virus es un fragmento de código que se inserta en una aplicación y se ejecuta cuando esta se abre. Una
vez dentro de la red, un virus puede robar datos confidenciales, ejecutar ataques DDoS o llevar a cabo
ataques de ransomware. Un virus, que suele propagarse por sitios web infectados, transferencias de
archivos o descargas de archivos adjuntos de correos electrónicos, permanecerá inactivo hasta que el
archivo o programa infectado se active. Cuando eso sucede, el virus puede replicarse y propagarse en sus
sistemas.

Ejemplo de virus:

Stuxnet: Stuxnet apareció en 2010 y se cree que los gobiernos de EE. UU. e Israel lo usaron para interrumpir
el programa nuclear de Irán. Propagado por una memoria USB, apuntó a los sistemas de control industrial de
Siemens para que las centrifugadoras fallaran y se autodestruyeran a velocidad récord. Se cree que Stuxnet
infectó más de 20 000 equipos y arruinó una quinta parte de las centrifugadoras nucleares de Irán, lo que
atrasó varios años su programa.

Keyloggers
Un keylogger es un tipo de spyware que monitorea la actividad del usuario. Los keyloggers se pueden utilizar
para fines legítimos: por ejemplo, una familia puede usarlos para realizar un seguimiento de la actividad de
sus hijos en Internet o una organización puede usarlo para supervisar la actividad de los empleados. Sin
embargo, cuando se instalan con fines maliciosos, los keyloggers pueden usarse para robar datos de
contraseñas, información bancaria y otra información confidencial. Los keyloggers pueden entrar en un
sistema a través de phishing, ingeniería social o descargas maliciosas.

Ejemplo de keylogger:

En 2017, un estudiante de la Universidad de Iowa fue arrestado después de instalar keyloggers en las
computadoras del personal para robar credenciales con el fin de modificar y cambiar calificaciones. El
estudiante fue declarado culpable y sentenciado a cuatro meses de prisión.

Bots y botnets
Un bot es un equipo infectado con malware que un pirata informático puede controlar de manera remota. El
bot, a veces llamado equipo zombie, se puede utilizar para ejecutar más ataques o formar parte de una
colección de bots llamada botnet. Los botnets pueden incluir millones de dispositivos que se propagan de
forma desapercibida. Los botnets ayudan a los piratas informáticos con numerosas actividades maliciosas,
incluidos los ataques DDoS, el envío de mensajes de spam y phishing, y la propagación de otros tipos de
malware.

Ejemplos de botnet:

Andromeda malware : La botnet Andromeda se asoció con 80 familias de malware diferentes. Creció tanto
que en un momento infectaba un millón de máquinas nuevas por mes y se distribuía a través de redes
sociales, mensajes instantáneos, correos electrónicos no deseados, kits de exploits y mucho más. El FBI, el

 2018 - aa Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 4 de 5
www.netacad.com
Práctica de laboratorio: Anatomía del malware

Centro Europeo de Ciberdelincuencia de Europol y otras agencias desmantelaron la operación en 2017, pero
muchas PC siguen infectadas.
Mirai : En 2016, un ataque masivo de DDoS dejó a gran parte de la costa este de EE. UU. sin acceso a
Internet. El ataque, el cual las autoridades al principio temían que fuera obra de un estado nacional hostil, fue
provocado por el botnet Mirai. Mirai es un tipo de malware que busca automáticamente dispositivos de la
Internet de las cosas (IoT) para infectarlos y reclutarlos en un botnet. Desde allí, este ejército de IoT se
puede usar para armar ataques DDoS en los que una corriente de elementos no deseados inunda los
servidores de un objetivo con tráfico malicioso. Mirai sigue provocando problemas en la actualidad.

 2018 - aa Cisco y/o sus filiales. Todos los derechos reservados. Información pública de Cisco Página 5 de 5
www.netacad.com